Captain it's Wednesday - Folge 123 - Danke Fabian

  Ralf Hersel   Lesezeit: 6 Minuten  🗪 1 Kommentar Auf Mastodon ansehen

Folge 123 des CIW Podcasts. Wir verlieren ein CORE-Mitglied und gewinnen neue Passwörter

captain it's wednesday - folge 123 - danke fabian

Für ein optimales Hörerlebnis empfehlen wir, eine Podcatcher-App zu verwenden. Zum Beispiel:

Der RSS-Feed für den Podcast lautet: https://gnulinux.ch/podcast/gnulinux_newscast_rss.xml. Ihr findet uns in den Podcast-Verzeichnissen unter dem Suchbegriff: "GNU/Linux".

Wenn euch der Podcast gefällt, freuen wir uns über eine Unterstützung. Vielen Dank!

Shownotes

CIW - Folge 123 - 12.02.2025 - Danke Fabian

  • Wir begrüssen alle Verschlüssler zur Folge 123 von "Captain it's Wednesday", dem Podcast über Freie Software und Freie Gesellschaft von GNU/Linux.ch, aufgenommen am 10. Februar von Silas Schöffel und Ralf Hersel. Heute sprechen wir über verlorene Mitglieder und gewonnene Passwörter.

Hausmitteilungen

  • Tim hat euer Flehen erhört und unseren Kommentar-Editor aufgebohrt

Thema: Wir verlieren ein CORE-Mitglied und gewinnen neue Passwörter

Fabian Danksagung
  • 3 Jahre bei GNU/Linux.ch
  • 72 Artikel und Podcast-Folgen (Rang 9 in der Autorenliste)
  • Viele gute Ideen, u. a. FOSSWELT
Nötige Änderungen: Passwörter
  • Welche ändern?
  • Die Änderung von Passwörtern zieht weitere Arbeiten nach sich
  • Neuorganisation der KeePass-Dateien
  • Starke Passwörter funktionieren nicht überall
Passkeys
  • Einloggen ohne Passwort
  • Das Passwort wird durch ein Schlüsselpaar ersetzt (privat, public), ähnlich wie bei GPG oder SSH.
  • Beim Anmelden schickt der Dienst (Webseite) eine Challange. Dann weist man sich mit PIN oder biometrischen Daten aus.
  • Danach sende dein Gerät den Public-Key an die Webseite, womit man seine Identität beweist.
  • Das Verfahren ist Geräte-gebunden, weshalb man den Passkey nicht weitergeben kann.
Zwei-Faktor-Authentisierung (2FA)
  • Neben Benutzername/Passwort, verwendet man bei der Anmeldung einen zweiten Faktor.
  • Dafür werden häufig zeitbasierten Einmalkennwörtern (TOTP) verwendet.
  • Die zwei Faktoren müssen aus unterschiedlichen Kategorien stammen:
    • Besitz: Haustürschlüssel, Handy, Bankkarte
    • Wissen: Passwort, Einmalkennwort, PIN, TAN
    • Eigenschaft: Biometrie (Iris, Fingerabdruck, Gangprofil, Gesicht)
  • Idealerweise befindet sich der zweite Faktor auf einem anderen Gerät (Smartphone, FIDO-Stick).
Verschlüsselung der Daten
  • Nextcloud
  • Bludit
  • Backups
  • Podcast
Quanten-sicher?
  • Heutige Quantencomputer sind nicht in der Lage gängige Verschlüsselungsverfahren zu knacken. Trotzdem sollte man heute schon quanten-resistente Verfahren einsetzen, wegen "steal now, decrypt later". Dabei werden verschlüsselte Daten im grossen Stil gesammelt. Zwar können die Sammelwütigen aktuell nichts damit anfangen. Aber sie hoffen, dass sich dies eines Tages mit Quantencomputern ändern wird.
  • KeePass verwendet das symetrische Verschlüsselungsverfahren AES mit einer Schlüssellänge von 256 bit. Das Verfahren ist für staatliche Dokumente mit höchstem Geheimhaltungsgrad zugelassen.
  • AES-256 gilt als quantenresistent. Nach dem Grover-Algorithmus (einem leistungsfähigen Quantensuchalgorithmus) kann die Zeit für einen Brute-Force-Angriff auf die Quadratwurzel reduziert werden. Wenn diese Zeit jedoch immer noch ausreichend groß ist, wird es unpraktisch, sie als Angriffsvektor zu verwenden. Für AES-128 ist dies 2^64 (nicht sicher genug), aber AES-256 ist 2^128, was zu viele Brute-Force-Iterationen ergibt. Daher gilt es als resistent gegen Post-Quantum-Computing.

Links

Outro

  • Euer Feedback ist uns wichtig. Ihr könnt uns über Matrix, Mastodon oder per E-Mail erreichen. Die Adressen findet ihr auf unserer Webseite.
  • GNU/Linux.ch ist ein Magazin, in dem die Community für die Community interessante Artikel erstellt und im Podcast darüber diskutiert. Helft mit, die Infos für die Community zu bereichern. Wie das geht, erfahrt ihr hier.

Tags

Podcast, CIW, Captain

Community

MitredenMitschreibenSpenden

Mitreden, Mitschreiben, Spenden

Jako
Geschrieben von Jako am 16. Februar 2025 um 01:06

2 kleine bzw. eigentlich nicht so kleine Korrekturen:

  1. Passkeys sind nicht zwangsläufig gerätegebunden, sie liegen halt nur bei Smartphones in einem separaten, abgesicherten Speicherbereich und bei den Sticks (Yubikey, Nitrokey) mWn in Hardware. Die dort zerstörungsfrei rauszuholen ist schon sehr aufwändig bis aktuell nicht bekannt möglich. Hat dafür den Nachteil, dass es eben nicht übertragbar ist. Software-gestützte Passkeys (rein im PW-Manager) sind übertragbar, mit allen Vor- und Nachteilen. (Es ist auch möglich die Passkeys in der Hestellercloud zu speichern, dann kann man sie auch auf neue Geräte übertragen. Ich hoffe es ist ohne weitere Erklärung klar warum das eine doofe Idee ist)
  2. (die nicht so kleine Korrektur) TANs und One-Time-Passwörter sind keine Faktoren aus der Kategorie Wissen, sondern aus der Kategorie Besitz. Sowohl den TAN-Generator als auch als auch ne TOTP-App (bzw. das Smartphone dazu) kann man weitergeben. Daher sollten sie wenn möglich durch einen zusätzlichen Wissens-Faktor geschützt sein (z.B. ne PIN, die ja auch nur ein vereinfachter Spezialfall des Passworts ist).

Warum das wichtig ist? Wissen ist die einzige Kategorie, für die Zwang durch die Polizei rein rechtlich nicht erfolgen darf (nicht, dass sie es nicht trotzdem manchmal versuchen ...)

Antworten